Autenticação de sites com PHP e MySQL

Neste artigo pretendo mostrar uma maneira fácil, simples e segura de fazer um sistema de autenticação em PHP com MySQL. Todas as sessões são registradas em um banco de dados com o IP, data e hora de acesso, deixando um enorme histórico excelente para futuras auditorias. Procurarei detalhar o máximo possível para facilitar a compreensão do artigo.

malacker

Por Djair Dutra C. Jr. em 08/12/2010

Hits: 55.716 Categoria: PHP Subcategoria: Segurança

Parte 2: Criando o banco de dados e as tabelas necessárias

O banco de dados pode ser o mesmo que você usará no seu site ou sistema, seja ele qual for. Basta apenas adicionar as tabelas "usuários" e "sessões", as quais serão responsáveis por armazenar os dados do usuário e das sessões criadas respectivamente. Os nomes "usuários" e "sessões" não são obrigatórios, mas é uma boa ideia seguir esses padrões.

Para facilitar, coloquei abaixo os códigos já prontos para criar as tabelas necessárias. No PhpMyadmin, você deve escolher seu banco de dados e depois a aba SQL, para colar os códigos abaixo e criar as tabelas.

Código para criar a tabela de usuários:

CREATE TABLE IF NOT EXISTS `usuarios` (
  `codusuario` int(11) NOT NULL AUTO_INCREMENT,
  `nome` varchar(255) DEFAULT NULL,
  `email` varchar(255) DEFAULT NULL,
  `senha` varchar(255) DEFAULT NULL,
  `privilegio` varchar(255) DEFAULT NULL,
  `status` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`codusuario`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=4 ;

Código para criar a tabela de sessões:

CREATE TABLE IF NOT EXISTS `sessoes` (
  `codsessao` mediumint(9) NOT NULL AUTO_INCREMENT,
  `data` date DEFAULT NULL,
  `hora` time DEFAULT NULL,
  `ipserver` varchar(255) DEFAULT NULL,
  `iprede` varchar(255) DEFAULT NULL,
  `sessao` varchar(255) DEFAULT NULL,
  `usuario` varchar(255) DEFAULT NULL,
  `datafecha` date DEFAULT NULL,
  `horafecha` time DEFAULT NULL,
  `status` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`codsessao`)
) ENGINE=MyISAM  DEFAULT CHARSET=latin1 AUTO_INCREMENT=186 ;

Explicando a criptografia da senha

O login e a senha que serão digitados na janela de login serão conferidos com os que estão salvos no banco de dados como qualquer sistema, porém, por uma questão de segurança - e porque não dizer também de ética - as senhas digitadas não serão guardadas no banco de dados literalmente como foram digitadas.

Para armazenar senhas, sempre gostei de usar uma técnica de criptografia com MD5 (http://pt.wikipedia.org/wiki/MD5) por ser unidirecional, ou seja, uma vez que um texto é convertido para MD5 a sua conversão para o valor original é impossível.

Mesmo que alguém tenha acesso à tabela que contém seus dados de usuário, ele não saberá o que fazer com a sua senha, que fica num formato parecido com este: f278b0cb1f1d4e55eea62e8974707214.

Então, resumindo, o sistema de login receberá a senha digitada pelo usuário, converterá para MD5 e só aí verificará se confere com a senha que está no banco de dados.

No exemplo a seguir a senha criptografada é a palavra djair, mas se você desejar criar sua própria senha pode criar um arquivo em php só para lhe auxiliar na criação das senhas. Use o código abaixo para criar uma página com o nome senha.php e veja como é simples criptografar uma senha.

<? echo "Senha: ".md5($senha); ?>
<form method=post action=senha.php>
<input type=text name=senha>
<input type=submit name=OK value=OK>
</form>

Criando um usuário "na mão" para testar os códigos

Antes de criar as páginas em php, é óbvio que deve haver pelo menos um usuário no banco de dados para fazer os testes. Este usuário será criado manualmente, através do PhpMyadmin.

Lembre-se de que, como explicado acima, a senha deve ser armazenada no banco de dados já no formato MD5, portanto faça esta conversão antes de inserir os dados.

INSERT INTO `usuarios` (`codusuario`, `nome`, `email`, `senha`, `privilegio`, `status`) VALUES (NULL, 'Djair Dutra', 'djair@easytecnologia.com.br', 'f278b0cb1f1d4e55eea62e8974707214', 'ADMIN', 'ATIVO');

Sobre a formatação das páginas

Como o intuito aqui é apenas a informação pura e simples sobre autenticação, mais uma vez lembro que não me prenderei também a detalhes de formatação de página. Se fôssemos detalhar todos os estilos de formatação e detalhes em CSS, ou mesmo em formatação pura em HTML este artigo ficaria gigantesco.

Portanto, suponho que o leitor deste artigo tenha algum conhecimento de HTML e saiba "encaixar" os códigos no conteúdo da sua página.

Páginas do artigo

   1. Entendendo como as coisas funcionam
   2. Criando o banco de dados e as tabelas necessárias
   3. Criando os primeiros arquivos em PHP
   4. Protegendo cada arquivo individualmente
   5. Criando o arquivo sessoes.php
   6. Como inserir este código nos demais arquivos do sistema?
   7. Finalizando (Dicas e maiores detalhes sobre o artigo)

Outros artigos deste autor

Tux, o cabo eleitoral

Por que eu pago por 10 megas, mas só faço download a 1 mega?

Esqueça tudo e venha para o Linux!

Estamos mais "INGNORANTES"?

Cópia completa do HD - cluster por cluster

Leitura recomendada

Segurança em PHP

Vulnerabilidade em formulário PHP

Introdução a manipulação de erros em PHP

Criptografia do método GET no PHP

Segurança: Autenticando o PHP com HTTP (Authentication Required)

Comentários

Ótimo artigo !!!

Quanto aos arquivos com outras estensões que não php, não existe uma opção que faça o php processar todo e qualquer tipo de arquivo ? Seria meio que um disfarce para o arquivo onde o php intercepta o carregamento e faz todas as verificações como se quele fosse um arquivo php real.

Até mais.

#1 Comentário enviado por marcrock em 09/12/2010 - 01:52h

Ótimo artigo !!!

Quanto aos arquivos com outras estensões que não php, não existe uma opção que faça o php processar todo e qualquer tipo de arquivo ? Seria meio que um disfarce para o arquivo onde o php intercepta o carregamento e faz todas as verificações como se quele fosse um arquivo php real.

Até mais.

Não consegui executar. Ele não sai da tela de login Posso lhe enviar o meu projeto para você verificar o por que de não funcionar?

Obrigado.

#2 Comentário enviado por sergiogurgel em 09/12/2010 - 11:34h

Não consegui executar. Ele não sai da tela de login Posso lhe enviar o meu projeto para você verificar o por que de não funcionar?

Obrigado.

Caro marcrock,

Existe uma maneira de impedir que certos arquivos sejam visualizados pelo apache. No arquivo de configuração do apache, você pode inserir a regra abaixo, mas como trata-se de um remédio para uma doença que pode ser evitada, acho melhor prevenir (usando só arquivos .php) do que ter que tomar o remédio.
Mas se seu caso exige que seja feita esta medida, espero que este código possa ajudar:

# Impedindo a visualização de arquivos .inc
<Files *.inc>
Order deny,allow
deny from all
</Files>

Se deseja, pode colocar vários arquivos simultaneamente na mesma regra.

# Impedindo a visualização de vários arquivos simultaneamente.
<FilesMatch "\.(gif|jpe?g|bmp|png)$">
Order deny,allow
deny from all
</FilesMatch>

#3 Comentário enviado por malacker em 09/12/2010 - 13:20h

Caro marcrock,

Existe uma maneira de impedir que certos arquivos sejam visualizados pelo apache. No arquivo de configuração do apache, você pode inserir a regra abaixo, mas como trata-se de um remédio para uma doença que pode ser evitada, acho melhor prevenir (usando só arquivos .php) do que ter que tomar o remédio.
Mas se seu caso exige que seja feita esta medida, espero que este código possa ajudar:

# Impedindo a visualização de arquivos .inc
<Files *.inc>
Order deny,allow
deny from all
</Files>

Se deseja, pode colocar vários arquivos simultaneamente na mesma regra.

# Impedindo a visualização de vários arquivos simultaneamente.
<FilesMatch "\.(gif|jpe?g|bmp|png)$">
Order deny,allow
deny from all
</FilesMatch>

Vou fazer um comentário sem ler completamente seu artigo, li apenas o código do login.php.
Parece que você está com o register_globals no php.ini ligado, fazendo com que qualquer variável enviada por post ou get se torne uma variável no script, ficando fácil burlar o sistema.

pelo que li, talvez acessando:
http://seusite.com.br/login.php?codcliente=1&consulta_email=teste@email.com&cara=teste@email.com&consulta_status=ATIVO
você consiga autorização para sua sessão, podendo navegar em qualquer página php.

Se puder testar e comentar se conseguiu acesso.

#4 Comentário enviado por reyfernandes em 09/12/2010 - 18:29h

Vou fazer um comentário sem ler completamente seu artigo, li apenas o código do login.php.
Parece que você está com o register_globals no php.ini ligado, fazendo com que qualquer variável enviada por post ou get se torne uma variável no script, ficando fácil burlar o sistema.

pelo que li, talvez acessando:
http://seusite.com.br/login.php?codcliente=1&consulta_email=teste@email.com&cara=teste@email.com&con...
você consiga autorização para sua sessão, podendo navegar em qualquer página php.

Se puder testar e comentar se conseguiu acesso.

Bom la vai meu comentario, na página de login você fez a verificação se as variaveis que o cara esta enviando de user e passwd estão em branco, mais se o cara  fizer um sql injection? 
Pelo jeito que esta seu sistema simplesmente vai bugar e mostrar a estrutura do banco toda.
Sugiro que você valide melhor seu formulário porque como ja dizia aquele ditado de programação .." se entrar lixo, sai lixo.".
Blz.. abraço cara

#5 Comentário enviado por mago_dos_chats em 09/12/2010 - 20:30h

Bom la vai meu comentario, na página de login você fez a verificação se as variaveis que o cara esta enviando de user e passwd estão em branco, mais se o cara fizer um sql injection?
Pelo jeito que esta seu sistema simplesmente vai bugar e mostrar a estrutura do banco toda.
Sugiro que você valide melhor seu formulário porque como ja dizia aquele ditado de programação .." se entrar lixo, sai lixo.".
Blz.. abraço cara

Não acredito que seja tão fácil burlar este login atravé de técnicas de sql injection porque o php criptografa (MD5) a variável recebida como senha e só depois a insere no banco de dados. Desta forma, qualquer coisa digitada no campo senha não será inserido literalmente no banco de dados, assim como a maioria das técnicas de sql injection.
Depois ele verifica se encontrou apenas só um cliente e só se isso for verdadeiro é que ele "loga" o cara.
O código ainda pode ser melhorado, sim (coisa que eu não fiz). Podemos colocar um "else" após o "if" que verifica se foi encontrado um só registro. Desta forma, dentro desse else, poderíamos zerar a variável $codcliente. Se o cara tentar um ataque por GET ou POST definindo um número para a variável $codcliente, o "if" trataria de zerar esta variável. É uma boa medida de segurança que deixei passar despercebida. Agradeço a quem contribuir.

#6 Comentário enviado por malacker em 10/12/2010 - 12:03h

Não acredito que seja tão fácil burlar este login atravé de técnicas de sql injection porque o php criptografa (MD5) a variável recebida como senha e só depois a insere no banco de dados. Desta forma, qualquer coisa digitada no campo senha não será inserido literalmente no banco de dados, assim como a maioria das técnicas de sql injection.
Depois ele verifica se encontrou apenas só um cliente e só se isso for verdadeiro é que ele "loga" o cara.
O código ainda pode ser melhorado, sim (coisa que eu não fiz). Podemos colocar um "else" após o "if" que verifica se foi encontrado um só registro. Desta forma, dentro desse else, poderíamos zerar a variável $codcliente. Se o cara tentar um ataque por GET ou POST definindo um número para a variável $codcliente, o "if" trataria de zerar esta variável. É uma boa medida de segurança que deixei passar despercebida. Agradeço a quem contribuir.

Sim malacker, com o MD5 o o usuario não vai ver qual a senha salva no banco, mais não acha que seria necessário proteger como seu banco esta estruturado? Legal o script para inicio, vai melhorando ele.

#7 Comentário enviado por mago_dos_chats em 10/12/2010 - 18:58h

Sim malacker, com o MD5 o o usuario não vai ver qual a senha salva no banco, mais não acha que seria necessário proteger como seu banco esta estruturado? Legal o script para inicio, vai melhorando ele.

Olá a todos,

Eu alterei o meu código assim:

exten => xxxx,1,Answer ;
exten => xxxx,n,Set(DB(test/count)=1234)
exten => xxxx,n,Set(COUNT=${DB(test/count)})
exten => xxxx,n,Authenticate(${COUNT}) ;

A questão é a seguinte como carreguei a variável test/count=1234. Como posso agora encontra-la no Mysql de modo a altera-la via Mysql?

Alguém pode dar uma ajuda?

#8 Comentário enviado por Allthe em 10/12/2010 - 19:39h

Olá a todos,

Eu alterei o meu código assim:

exten => xxxx,1,Answer ;
exten => xxxx,n,Set(DB(test/count)=1234)
exten => xxxx,n,Set(COUNT=${DB(test/count)})
exten => xxxx,n,Authenticate(${COUNT}) ;

A questão é a seguinte como carreguei a variável test/count=1234. Como posso agora encontra-la no Mysql de modo a altera-la via Mysql?

Alguém pode dar uma ajuda?

Dicas:
nunca faça o que você fez.
#reyfernandes está corretissímo.
além do que, você trata a senha encriptando ela, porém o email ta passando livre livre para injections.

coisa simples a se fazer, sempre que adicionar uma variável a sentença sql, passe o conteúdo pela função addslashes antes. Não resolve todos os problemas, mas não deixa tão na cara o rombo na segurança. Do jeito que está tá na cara do gol.

#9 Comentário enviado por reideer em 12/12/2010 - 10:41h

Dicas:
nunca faça o que você fez.
#reyfernandes está corretissímo.
além do que, você trata a senha encriptando ela, porém o email ta passando livre livre para injections.

coisa simples a se fazer, sempre que adicionar uma variável a sentença sql, passe o conteúdo pela função addslashes antes. Não resolve todos os problemas, mas não deixa tão na cara o rombo na segurança. Do jeito que está tá na cara do gol.

Eu li e re-li esse tutorial, fiz o passo-a-passo mas está dando erros nos arquivos. No arquivo sessoes da erro na linha numero 42, e no arquivo login aparece um erro na linha 24. eu não entendo quase nada de php, estou começando nessa area, como concerto esses arquivos? oq devo fazer? me ajudem por favor amigos.
até mais
OBS: esse script funciona também em php5?
Obrigado.

#10 Comentário enviado por chinlap em 11/03/2011 - 14:39h

Eu li e re-li esse tutorial, fiz o passo-a-passo mas está dando erros nos arquivos. No arquivo sessoes da erro na linha numero 42, e no arquivo login aparece um erro na linha 24. eu não entendo quase nada de php, estou começando nessa area, como concerto esses arquivos? oq devo fazer? me ajudem por favor amigos.
até mais
OBS: esse script funciona também em php5?
Obrigado.